Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Des RATs qui camouflent leur trafic réseau

Dans le monde merveilleux des malwares et plus particulièrement des RATs (Remote Access Trojan), tels que Gh0st ou PoisonIvy, voici venue une nouvelle variété baptisée les FAKEM.

Jusqu’à présent, les RATs étaient facilement détectables grâce au trafic réseau qu’ils généraient. Ce trafic « type » faisait office de signature, rapidement repérable par les systèmes de protection anti-malware. Mais cette époque semble révolue puisque Trend Micro vient de publier un document de recherche dans lequel ils expliquent qu’ils ont découvert une nouvelle variante de ces RATs.

Ces derniers savent maintenant camoufler leur trafic réseau pour le faire ressembler à du trafic en provenance de MSN, Yahoo! Messenger ou tout simplement à des paquets HTML. Le déguisement est sommaire puisque seuls les entêtes des paquets sont semblables à du trafic « propre ». Une analyse plus poussée suffit alors pour constater que le contenu du paquet est chiffré et ne correspond pas à un véritable paquet MSN ou HTML. Cependant, cela suffit à contourner une détection rapide.

Voici un paquet MSN normal…

vrai

Et voici un paquet RAT FAKEM imitant un paquet MSN…

faux

Pour cette étude, Trend Micro a mis en place un honeypot (pot de miel) afin de capturer ces FAKEM, déchiffrer le trafic envoyé vers ces derniers et ainsi analyser leur fonctionnement. Quoi qu’il en soit, les éditeurs d’antivirus et d’outils de détections qui ne le font pas encore devront probablement s’adapter afin d’analyser un peu plus finement la structure des paquets transitant sur le réseau (DPI ?).

Source et photo

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Lien sponsorisé


Les articles du moment